CN112887282A - 一种身份认证方法、装置、***及电子设备 - Google Patents
一种身份认证方法、装置、***及电子设备 Download PDFInfo
- Publication number
- CN112887282A CN112887282A CN202110044025.1A CN202110044025A CN112887282A CN 112887282 A CN112887282 A CN 112887282A CN 202110044025 A CN202110044025 A CN 202110044025A CN 112887282 A CN112887282 A CN 112887282A
- Authority
- CN
- China
- Prior art keywords
- information
- current terminal
- identity authentication
- authentication
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种身份认证方法、装置、***及电子设备,在该***中,当前终端获取身份认证请求信息,并将所述身份认证请求信息发送至认证网关;所述认证网关根据所述终端访问标识符,对所述身份认证请求信息进行验证,生成反馈信息,将所述反馈信息发送至所述当前终端;当前终端获取加密密钥,并利用所述加密密钥对所述反馈信息进行加密,以得到对应的加密信息;认证网关利用所述会话秘钥读取所述加密信息,以得到对应的解密信息;根据所述反馈信息和解密信息之间的关系,生成所述当前终端的身份认证结果。上述方案使当前终端与认证网关之间实现了双向认证,提高了身份认证结果的可靠性,为提高电力***的安全性奠定了基础。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种身份认证方法、装置、***及电子设备。
背景技术
随着网络技术的发展,电力***中的终端设备类型和数量也在不断增加,为了保障电力***的安全性,需要对电力***中的终端设备进行身份认证。
在现有技术中,通常是根据预设的身份注册库,对当前终端设备的身份认证信息进行认证。
但是,由于网络攻击手段多种多样,无法避免网络攻击者伪造身份认证信息,导致现有技术的身份认证结果的可靠性较低。因此,急需一种可以保障身份认证结果可靠性的身份认证方法,对提高电力***的安全性有重要意义。
发明内容
本申请提供一种一种身份认证方法、装置、***及电子设备,以解决现有技术的可靠性较低等缺陷。
本申请第一个方面提供一种身份认证方法,包括:
接收当前终端发送的身份认证请求信息,其中,所述身份认证请求信息包括所述当前终端的终端访问标识符;
根据所述终端访问标识符,对所述身份认证请求信息进行验证,生成反馈信息,将所述反馈信息发送至所述当前终端;
接收所述当前终端发送的加密信息,所述加密信息为所述当前终端基于其对应的加密密钥对所述反馈信息进行加密得到的;
根据所述终端访问标识符,从预设的认证库中选取对应的会话秘钥,利用所述会话秘钥读取所述加密信息,以得到对应的解密信息;
根据所述反馈信息和解密信息之间的关系,生成所述当前终端的身份认证结果。
可选的,在根据所述反馈信息和解密信息之间的关系,生成所述当前终端的身份认证结果之后,所述方法还包括:
在所述身份认证结果为认证通过时,向所述当前终端发送第一应答指令;
接收所述当前终端发送的第一应答数据;其中,所述第一应答数据为所述当前终端根据所述第一应答指令生成的第一应答数据;
根据所述第一应答数据与所发送的第一应答指令之间的关系,生成所述当前终端的安全检测结果。
可选的,所述根据所述反馈信息和解密信息之间的关系,生成所述当前终端的身份认证结果,包括:
判断所述解密信息与所述反馈信息是否相同;
当所述解密信息与所述反馈信息相同时,确定所述当前终端的身份认证成功;
当所述解密信息与所述反馈信息不同时,确定所述当前终端的身份认证失败。
可选的,所述根据所述第一应答数据与所发送的第一应答指令之间的关系,生成所述当前终端的安全检测结果,包括:
判断所述第一应答数据与第一应答指令之间是否满足预设的对应关系;
当所述第一应答数据与第一应答指令之间满足预设的对应关系时,确定所述当前终端为正常终端;
当所述第一应答数据与第一应答指令之间不满足预设的对应关系时,确定所述当前终端为异常终端。
可选的,在接收当前终端发送的身份认证请求信息之前,所述方法还包括:
获取当前终端的设备属性信息和业务属性信息;其中,所述属性信息包括设备类型、资源分配信息、权限信息和运行环境信息;
基于预设的标识符生成规则,根据所述当前终端的属性信息和业务属性信息,生成对应的终端访问标识符和加密秘钥,并将所述终端访问标识符和加密秘钥发送至当前终端。
可选的,还包括:
按照预设认证周期,向所述当前终端发送第二应答指令;
接收所述当前终端发送的第二应答数据,所述第二应答数据为所述当前终端根据所述第二应答指令生成的第二应答数据;
根据所述第二应答数据与所发送的第二应答指令之间的关系,对所述当前终端的安全检测结果进行更新。
本申请第二个方面提供一种身份认证方法,包括:
获取身份认证请求信息,并将所述身份认证请求信息发送至认证网关,其中,所述身份认证请求信息包括终端访问标识符;
接收所述认证网关发送的反馈信息,所述反馈信息为所述认证网关根据所述身份认证请求信息生成的反馈信息;
获取加密密钥,并利用所述加密密钥对所述反馈信息进行加密,以得到对应的加密信息;
将所述加密信息发送至所述认证网关,以供所述认证网关根据所述加密信息,生成对应的身份认证结果。
可选的,还包括:
接收所述认证网关发送的第一应答指令,所述第一应答指令为所述认证网关在所述身份认证结果为认证通过时发送的;
根据所述第一应答指令,生成对应的第一应答数据;
将所述第一应答数据发送至所述认证网关,以供所述认证网关根据所述第一应答数据与所发送的第一应答指令之间的关系,生成安全检测结果。
可选的,在获取身份认证请求信息之前,所述方法还包括:
向所述认证网关发送当前的设备属性信息和业务属性信息;
接收所述认证网关发送的终端访问标识符和加密秘钥,所述终端访问标识符和加密秘钥为所述认证网关根据当前的设备属性信息和业务属性信息生成的;
根据所述终端访问标识符,生成对应的身份认证请求信息。
可选的,还包括:
接收所述认证网关发送的第二应答指令,所述第二应答指令为所述认证网关按照预设认证周期发送的应答指令;根据所述第二应答指令,生成对应的第二应答数据;
将所述第二应答数据发送至所述认证网关,以供所述认证网关根据所述第二应答数据与所发送的第二应答指令之间的关系,对所述安全检测结果进行更新。
本申请第三个方面提供一种身份认证装置,包括:
第一接收模块,用于接收当前终端发送的身份认证请求信息,其中,所述身份认证请求信息包括所述当前终端的终端访问标识符;
验证模块,用于根据所述终端访问标识符,对所述身份认证请求信息进行验证,生成反馈信息,将所述反馈信息发送至所述当前终端;
第二接收模块,用于接收所述当前终端发送的加密信息,所述加密信息为所述当前终端基于其对应的加密密钥对所述反馈信息进行加密得到的;
解密模块,用于根据所述终端访问标识符,从预设的认证库中选取对应的会话秘钥,利用所述会话秘钥读取所述加密信息,以得到对应的解密信息;
认证模块,用于根据所述反馈信息和解密信息之间的关系,生成所述当前终端的身份认证结果。
本申请第四个方面提供一种身份认证装置,包括:
第一获取模块,用于获取身份认证请求信息,并将所述身份认证请求信息发送至认证网关,其中,所述身份认证请求信息包括终端访问标识符;
第三接收模块,用于接收所述认证网关发送的反馈信息,所述反馈信息为所述认证网关根据所述身份认证请求信息生成的反馈信息;
第二获取模块,用于获取加密密钥,并利用所述加密密钥对所述反馈信息进行加密,以得到对应的加密信息;
发送模块,用于将所述加密信息发送至所述认证网关,以供所述认证网关根据所述加密信息,生成对应的身份认证结果。
本申请第五个方面提供一种身份认证***,包括包括至少一个终端和认证网关;
其中,当前终端获取身份认证请求信息,并将所述身份认证请求信息发送至认证网关;其中,所述身份认证请求信息包括终端访问标识符;
所述认证网关接收当前终端发送的身份认证请求信息;根据所述终端访问标识符,对所述身份认证请求信息进行验证,生成反馈信息,将所述反馈信息发送至所述当前终端;
当前终端接收所述认证网关发送的反馈信息;获取加密密钥,并利用所述加密密钥对所述反馈信息进行加密,以得到对应的加密信息;
认证网关接收所述当前终端发送的加密信息;根据所述终端访问标识符,从预设的认证库中选取对应的会话秘钥,利用所述会话秘钥读取所述加密信息,以得到对应的解密信息;根据所述反馈信息和解密信息之间的关系,生成所述当前终端的身份认证结果。
本申请第六个方面提供一种电子设备,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第一个方面以及第一个方面各种可能的设计所述的方法,或如上第二个方面以及第二个方面各种可能的设计所述的方法。
本申请第四个方面提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一个方面以及第一个方面各种可能的设计所述的方法,或如上第二个方面以及第二个方面各种可能的设计所述的方法。
本申请技术方案,具有如下优点:
本申请提供的身份认证方法、装置、***及电子设备,通过当前终端获取身份认证请求信息,并将所述身份认证请求信息发送至认证网关;其中,所述身份认证请求信息包括终端访问标识符;所述认证网关接收当前终端发送的身份认证请求信息;根据所述终端访问标识符,对所述身份认证请求信息进行验证,生成反馈信息,将所述反馈信息发送至所述当前终端;当前终端接收所述认证网关发送的反馈信息;获取加密密钥,并利用所述加密密钥对所述反馈信息进行加密,以得到对应的加密信息;认证网关接收所述当前终端发送的加密信息;根据所述终端访问标识符,从预设的认证库中选取对应的会话秘钥,利用所述会话秘钥读取所述加密信息,以得到对应的解密信息;根据所述反馈信息和解密信息之间的关系,生成所述当前终端的身份认证结果。上述方案通过在当前终端的身份认证请求信息验证的过程中,对当前终端的信息加密情况进行验证,使当前终端与认证网关之间实现了双向认证,提高了身份认证结果的可靠性,为提高电力***的安全性奠定了基础。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本申请实施例基于的网络结构示意图;
图2为本申请实施例提供的一种身份认证方法的流程示意图;
图3为本申请实施例提供的另一种身份认证方法的流程示意图;
图4为本申请实施例提供的一种身份认证装置的结构示意图;
图5为本申请实施例提供的另一种身份认证装置的结构示意图;
图6为本申请实施例提供的电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。在以下各实施例的描述中,“多个”的含义是两个以上,除非另有明确具体的限定。
在现有技术中,通常是根据预设的身份注册库,对当前终端设备的身份认证信息进行认证。但是,由于网络攻击手段多种多样,无法避免网络攻击者伪造身份认证信息,导致现有技术的身份认证结果的可靠性较低。
针对上述问题,本申请实施例提供的身份认证方法、装置、***及电子设备,通过当前终端获取身份认证请求信息,并将身份认证请求信息发送至认证网关;其中,身份认证请求信息包括终端访问标识符;认证网关接收当前终端发送的身份认证请求信息;根据终端访问标识符,对身份认证请求信息进行验证,生成反馈信息,将反馈信息发送至当前终端;当前终端接收认证网关发送的反馈信息;获取加密密钥,并利用加密密钥对反馈信息进行加密,以得到对应的加密信息;认证网关接收当前终端发送的加密信息;根据终端访问标识符,从预设的认证库中选取对应的会话秘钥,利用会话秘钥读取加密信息,以得到对应的解密信息;根据反馈信息和解密信息之间的关系,生成当前终端的身份认证结果。上述方案通过在当前终端的身份认证请求信息验证的过程中,对当前终端的信息加密情况进行验证,使当前终端与认证网关之间实现了双向认证,提高了身份认证结果的可靠性,为提高电力***的安全性奠定了基础。
下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本发明实施例进行描述。
首先,对本申请所基于的网络结构进行说明:
本申请实施例提供的身份认证方法、装置、***及电子设备,适用于对网络中的终端设备的身份进行验证。如图1所示,为本申请实施例基于的网络结构示意图,主要包括多个终端、认证网关和认证中心。具体地,当某一终端需要进行身份认证时,向认证网关发送身份认证请求信息,认证网关根据所得到的身份认证请求信息和认证中心中设置的认证库,对该终端进行身份认证,并生成对应的身份认证结果。
本申请实施例提供了一种身份认证***,包括至少一个终端和认证网关。
如图2所示,为本申请实施例提供的一种身份认证方法的流程示意图,该方法包括:
步骤201,当前终端获取身份认证请求信息,并将身份认证请求信息发送至认证网关。
其中,身份认证请求信息包括终端访问标识符。
示例性的,当前终端终端向认证网关发出身份认证请求信息,同时生成一个时间戳N1,身份认证请求信息S=H(A_ID)⊕N1,将S和N1传送给认证网关。其中,A_ID表示终端访问标识符,H(A_ID)表示终端访问标识符对应的哈希值。
步骤202,认证网关接收当前终端发送的身份认证请求信息;根据终端访问标识符,对身份认证请求信息进行验证,生成反馈信息,将反馈信息发送至当前终端。
示例性的,在认证网关接收到你终端的身份认证请求信息后,根据所得到的终端访问标识符,认证网关计算H(A_ID)⊕N1,进一步判断得到的计算结果与接收到的S是否相同,若相同,则确定当前终端的身份认证请求信息认证通过,生成反馈信息M={H(A_ID)⊕N1||N2},其中N2是认证网关生成的时间戳。
步骤203,当前终端接收认证网关发送的反馈信息;获取加密密钥,并利用加密密钥对反馈信息进行加密,以得到对应的加密信息。
示例性的,当前终端可以得到加密信息Q={M||E(H(T_ID)||N4))},其中,EK(x)为用加密密钥K对得到的反馈信息进行加密的过程,加密算法可以用任何对称加密算法,N4为当前对应的时间戳。
步骤204,认证网关接收当前终端发送的加密信息;根据终端访问标识符,从预设的认证库中选取对应的会话秘钥,利用会话秘钥读取加密信息,以得到对应的解密信息;根据反馈信息和解密信息之间的关系,生成当前终端的身份认证结果。
需要解释的是,认证库中存储有当前网络中各终端设备的注册信息,该注册信息包括终端设备对应的会话秘钥,以用来对终端设备的加密信息进行解密。
示例性的,认证网关在得到加密信息后,在认证库中提取对应的会话秘钥,并得到解密信息{H(A_ID)⊕N1||N2||E(H(T_ID)||N4+1||KS))}。进一步根据得到的解密信息和之前的反馈信息,生成当前终端的身份认证结果。
具体地,在一实施例中,认证网关可以判断解密信息与反馈信息是否相同;当解密信息与反馈信息相同时,确定当前终端的身份认证成功;当解密信息与反馈信息不同时,确定当前终端的身份认证失败。
具体地,由于加密信息是通过当前终端对反馈信息进行加密得到的,进一步通过验证所得到的解密信息与之前发送给当前终端的反馈信息是否相同,可以确定当前终端是否有接收到了认证网关发送的反馈信息,以判断当前终端的合法性。
在上述实施例的基础上,由于在复杂的网络环境下,即便当前终端的身份认证成功,也无法保障当前终端的安全性,因此,为了进一步对当前终端的安全性进行检测,作为一种可实施的方式,如图3所示,为本申请实施例提供的另一种身份认证方法的流程示意图,在一实施例中,认证网关在根据反馈信息和解密信息之间的关系,生成当前终端的身份认证结果之后,该方法还包括:
步骤301,在身份认证结果为认证通过时,向当前终端发送第一应答指令;
步骤302,接收当前终端发送的第一应答数据;其中,第一应答数据为当前终端根据第一应答指令生成的第一应答数据;
步骤303,根据第一应答数据与所发送的第一应答指令之间的关系,生成当前终端的安全检测结果。
相应的,在一实施例中,当前终端所执行的身份认证方法还包括:
步骤401,接收认证网关发送的第一应答指令,第一应答指令为认证网关在身份认证结果为认证通过时发送的;
步骤402,根据第一应答指令,生成对应的第一应答数据;
步骤402,将第一应答数据发送至认证网关,以供认证网关根据第一应答数据与所发送的第一应答指令之间的关系,生成安全检测结果。
示例性的,在认证网关确定当前终端的身份认证成功之后,生成第一应答指令,以控制当前终端生成对应第一应答数据,通过判断第一应答指令与当前终端生成的第一应答数据之间的对应关系,进一步对当前终端的安全性进行检测。
具体地,在一实施例中,可以判断第一应答数据与第一应答指令之间是否满足预设的对应关系;当第一应答数据与第一应答指令之间满足预设的对应关系时,确定当前终端为正常终端;当第一应答数据与第一应答指令之间不满足预设的对应关系时,确定当前终端为异常终端。
具体地,可以通过判断第一应答数据与第一应答指令之间是否满足预设的对应关系,来确定当前终端是否有做出正确的应答,以确定当前终端的安全性。在确定当前终端为异常终端时,可以生成对应的报警信息,并切断当前终端与认证网关之间的网络连接。
具体地,在一实施例中,为了进一步对当前终端的安全性进行实时监控,以确保网络安全,认证网关可以按照预设认证周期,向当前终端发送第二应答指令;接收当前终端发送的第二应答数据,第二应答数据为当前终端根据第二应答指令生成的第二应答数据;根据第二应答数据与所发送的第二应答指令之间的关系,对当前终端的安全检测结果进行更新。
相应的,在一实施例中,当前终端可以接收认证网关发送的第二应答指令,第二应答指令为认证网关按照预设认证周期发送的应答指令;根据第二应答指令,生成对应的第二应答数据;将第二应答数据发送至认证网关,以供认证网关根据第二应答数据与所发送的第二应答指令之间的关系,对安全检测结果进行更新。
其中,预设认证周期可以根据实际需求进行设定。若对当前终端的安全性要求较高,则可以将认证周期设置的短一些,相反的,若对当前终端的安全性要求相对较低,则可以将认证周期设置的长一些,具体本申请实施例不做限定。具体的安全检测原理和方式,可以参考上述实施例,在此不再赘述。
具体地,在一实施例中,认证网关在接收当前终端发送的身份认证请求信息之前,可以获取当前终端的设备属性信息和业务属性信息;其中,设备属性信息包括设备类型、资源分配信息、权限信息和运行环境信息;基于预设的标识符生成规则,根据当前终端的属性信息和业务属性信息,生成对应的终端访问标识符和加密秘钥,并将终端访问标识符和加密秘钥发送至当前终端。
相应的,在一实施例中,当前终端可以向认证网关发送当前的设备属性信息和业务属性信息;接收认证网关发送的终端访问标识符和加密秘钥,终端访问标识符和加密秘钥为认证网关根据当前的设备属性信息和业务属性信息生成的;根据终端访问标识符,生成对应的身份认证请求信息。
示例性的,若当前终端的设备属性信息为A1,A2,…,An,当前终端业务属性信息为B_ID,则当前终端的设备标识符的生成方法如下:T_ID=H(A1||A2||…||An||B_ID)。其中T_ID表示设备标识符,H(x)为hash算法,||为字符串连接。网络将根据终端业务属性信息B_ID,分配一个唯一的终端访问标识符A_ID,其中还包括终端用户所在域的信息。
具体地,在当前终端访问网络前,需要到认证中心进行注册。物联终端将需要认证的信息通过安全信道传送给认证中心进行注册,生成当前终端访问标识符和双方共享主密钥(加密秘钥)。
具体地,当前终端向认证中心提供设备属性信息和业务属性信息,其中设备属性信息还包括生产制造商和产品序列号等。认证中心根据设备的设备属性信息{A_i|i=1,…,n}和业务属性信息(B_ID),用预设的哈希算法生成唯一的设备标识符(T_ID),认证中心并随机产生唯一的终端访问标识符(A_ID)和加密秘钥K。终端访问标识符含有其所在域的标识信息,与终端标识符一一对应。认证中心和认证网关保存终端访问标识符的哈希值H(A_ID);认证中心将终端访问标识符(A_ID)和加密秘钥K传送给当前终端。其中,为了方便区分,将发送到当前终端的主密钥定义为加密秘钥,将存储在认证中心的主密钥定义为会话秘钥,本申请实施例所提供的认证中心可以部署在认证网关,也可以单独设置,具体本申请实施例不做限定。
本申请实施例提供的身份认证***,通过当前终端获取身份认证请求信息,并将身份认证请求信息发送至认证网关;其中,身份认证请求信息包括终端访问标识符;认证网关接收当前终端发送的身份认证请求信息;根据终端访问标识符,对身份认证请求信息进行验证,生成反馈信息,将反馈信息发送至当前终端;当前终端接收认证网关发送的反馈信息;获取加密密钥,并利用加密密钥对反馈信息进行加密,以得到对应的加密信息;认证网关接收当前终端发送的加密信息;根据终端访问标识符,从预设的认证库中选取对应的会话秘钥,利用会话秘钥读取加密信息,以得到对应的解密信息;根据反馈信息和解密信息之间的关系,生成当前终端的身份认证结果。上述方案通过在当前终端的身份认证请求信息验证的过程中,对当前终端的信息加密情况进行验证,使当前终端与认证网关之间实现了双向认证,提高了身份认证结果的可靠性,为提高电力***的安全性奠定了基础。并且,通过对当前终端的应答情况进行了验证,检测了当前终端的安全性,进一步保障了电力***的安全性。
本申请实施例提供了一种身份认证装置,用于执行上述实施例提供的认证网关对应的身份认证方法。
如图4所示,为本申请实施例提供的一种身份认证装置的结构示意图。该身份认证装置40包括第一接收模块401、验证模块402、第二接收模块403、解密模块404和认证模块405。
其中,第一接收模块,用于接收当前终端发送的身份认证请求信息,其中,身份认证请求信息包括当前终端的终端访问标识符;验证模块,用于根据终端访问标识符,对身份认证请求信息进行验证,生成反馈信息,将反馈信息发送至当前终端;第二接收模块,用于接收当前终端发送的加密信息,加密信息为当前终端基于其对应的加密密钥对反馈信息进行加密得到的;解密模块,用于根据终端访问标识符,从预设的认证库中选取对应的会话秘钥,利用会话秘钥读取加密信息,以得到对应的解密信息;认证模块,用于根据反馈信息和解密信息之间的关系,生成当前终端的身份认证结果。
关于本实施例中的身份认证装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本申请实施例提供的身份认证装置,用于执行上述实施例提供的认证网关对应的身份认证方法,其实现方式与原理相同,不再赘述。
本申请实施例提供了一种身份认证装置,用于执行上述实施例提供的当前终端对应的身份认证方法。
如图5所示,为本申请实施例提供的另一种身份认证装置的结构示意图。该身份认证装置50包括第一获取模块501、第三接收模块502、第二获取模块503和发送模块504。
其中,第一获取模块,用于获取身份认证请求信息,并将身份认证请求信息发送至认证网关,其中,身份认证请求信息包括终端访问标识符;第三接收模块,用于接收认证网关发送的反馈信息,反馈信息为认证网关根据身份认证请求信息生成的反馈信息;第二获取模块,用于获取加密密钥,并利用加密密钥对反馈信息进行加密,以得到对应的加密信息;发送模块,用于将加密信息发送至认证网关,以供认证网关根据加密信息,生成对应的身份认证结果。
关于本实施例中的身份认证装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本申请实施例提供的身份认证装置,用于执行上述实施例提供的当前终端对应的身份认证方法,其实现方式与原理相同,不再赘述。
本申请实施例提供了一种电子设备,用于执行上述实施例提供的身份认证方法。
如图6所示,为本申请实施例提供的电子设备的结构示意图。该电子设备60包括:至少一个处理器61和存储器62;
存储器存储计算机执行指令;至少一个处理器执行存储器存储的计算机执行指令,使得至少一个处理器执行如上实施例提供的认证网关对应的身份认证方法,或当前终端对应的身份认证方法。
本申请实施例提供的一种电子设备,用于执行上述实施例提供的认证网关对应的身份认证方法,或当前终端对应的身份认证方法,其实现方式与原理相同,不再赘述。
本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当处理器执行计算机执行指令时,实现如上任一实施例提供的认证网关对应的身份认证方法,或当前终端对应的身份认证方法。
本申请实施例的包含计算机可执行指令的存储介质,可用于存储前述实施例中提供的认证网关对应的身份认证方法,或当前终端对应的身份认证方法的计算机执行指令,其实现方式与原理相同,不再赘述
本领域技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (15)
1.一种身份认证方法,其特征在于,包括:
接收当前终端发送的身份认证请求信息,其中,所述身份认证请求信息包括所述当前终端的终端访问标识符;
根据所述终端访问标识符,对所述身份认证请求信息进行验证,生成反馈信息,将所述反馈信息发送至所述当前终端;
接收所述当前终端发送的加密信息,所述加密信息为所述当前终端基于其对应的加密密钥对所述反馈信息进行加密得到的;
根据所述终端访问标识符,从预设的认证库中选取对应的会话秘钥,利用所述会话秘钥读取所述加密信息,以得到对应的解密信息;
根据所述反馈信息和解密信息之间的关系,生成所述当前终端的身份认证结果。
2.根据权利要求1所述的方法,其特征在于,在根据所述反馈信息和解密信息之间的关系,生成所述当前终端的身份认证结果之后,所述方法还包括:
在所述身份认证结果为认证通过时,向所述当前终端发送第一应答指令;
接收所述当前终端发送的第一应答数据;其中,所述第一应答数据为所述当前终端根据所述第一应答指令生成的第一应答数据;
根据所述第一应答数据与所发送的第一应答指令之间的关系,生成所述当前终端的安全检测结果。
3.根据权利要求1所述的方法,其特征在于,所述根据所述反馈信息和解密信息之间的关系,生成所述当前终端的身份认证结果,包括:
判断所述解密信息与所述反馈信息是否相同;
当所述解密信息与所述反馈信息相同时,确定所述当前终端的身份认证成功;
当所述解密信息与所述反馈信息不同时,确定所述当前终端的身份认证失败。
4.根据权利要求2所述的方法,其特征在于,所述根据所述第一应答数据与所发送的第一应答指令之间的关系,生成所述当前终端的安全检测结果,包括:
判断所述第一应答数据与第一应答指令之间是否满足预设的对应关系;
当所述第一应答数据与第一应答指令之间满足预设的对应关系时,确定所述当前终端为正常终端;
当所述第一应答数据与第一应答指令之间不满足预设的对应关系时,确定所述当前终端为异常终端。
5.根据权利要求1所述的方法,其特征在于,在接收当前终端发送的身份认证请求信息之前,所述方法还包括:
获取当前终端的设备属性信息和业务属性信息;其中,所述属性信息包括设备类型、资源分配信息、权限信息和运行环境信息;
基于预设的标识符生成规则,根据所述当前终端的属性信息和业务属性信息,生成对应的终端访问标识符和加密秘钥,并将所述终端访问标识符和加密秘钥发送至当前终端。
6.根据权利要求2所述的方法,其特征在于,还包括:
按照预设认证周期,向所述当前终端发送第二应答指令;
接收所述当前终端发送的第二应答数据,所述第二应答数据为所述当前终端根据所述第二应答指令生成的第二应答数据;
根据所述第二应答数据与所发送的第二应答指令之间的关系,对所述当前终端的安全检测结果进行更新。
7.一种身份认证方法,其特征在于,包括:
获取身份认证请求信息,并将所述身份认证请求信息发送至认证网关,其中,所述身份认证请求信息包括终端访问标识符;
接收所述认证网关发送的反馈信息,所述反馈信息为所述认证网关根据所述身份认证请求信息生成的反馈信息;
获取加密密钥,并利用所述加密密钥对所述反馈信息进行加密,以得到对应的加密信息;
将所述加密信息发送至所述认证网关,以供所述认证网关根据所述加密信息,生成对应的身份认证结果。
8.根据权利要求7所述的方法,其特征在于,还包括:
接收所述认证网关发送的第一应答指令,所述第一应答指令为所述认证网关在所述身份认证结果为认证通过时发送的;
根据所述第一应答指令,生成对应的第一应答数据;
将所述第一应答数据发送至所述认证网关,以供所述认证网关根据所述第一应答数据与所发送的第一应答指令之间的关系,生成安全检测结果。
9.根据权利要求7所述的方法,其特征在于,在获取身份认证请求信息之前,所述方法还包括:
向所述认证网关发送当前的设备属性信息和业务属性信息;
接收所述认证网关发送的终端访问标识符和加密秘钥,所述终端访问标识符和加密秘钥为所述认证网关根据当前的设备属性信息和业务属性信息生成的;
根据所述终端访问标识符,生成对应的身份认证请求信息。
10.根据权利要求8所述的方法,其特征在于,还包括:
接收所述认证网关发送的第二应答指令,所述第二应答指令为所述认证网关按照预设认证周期发送的应答指令;根据所述第二应答指令,生成对应的第二应答数据;
将所述第二应答数据发送至所述认证网关,以供所述认证网关根据所述第二应答数据与所发送的第二应答指令之间的关系,对所述安全检测结果进行更新。
11.一种身份认证装置,其特征在于,包括:
第一接收模块,用于接收当前终端发送的身份认证请求信息,其中,所述身份认证请求信息包括所述当前终端的终端访问标识符;
验证模块,用于根据所述终端访问标识符,对所述身份认证请求信息进行验证,生成反馈信息,将所述反馈信息发送至所述当前终端;
第二接收模块,用于接收所述当前终端发送的加密信息,所述加密信息为所述当前终端基于其对应的加密密钥对所述反馈信息进行加密得到的;
解密模块,用于根据所述终端访问标识符,从预设的认证库中选取对应的会话秘钥,利用所述会话秘钥读取所述加密信息,以得到对应的解密信息;
认证模块,用于根据所述反馈信息和解密信息之间的关系,生成所述当前终端的身份认证结果。
12.一种身份认证装置,其特征在于,包括:
第一获取模块,用于获取身份认证请求信息,并将所述身份认证请求信息发送至认证网关,其中,所述身份认证请求信息包括终端访问标识符;
第三接收模块,用于接收所述认证网关发送的反馈信息,所述反馈信息为所述认证网关根据所述身份认证请求信息生成的反馈信息;
第二获取模块,用于获取加密密钥,并利用所述加密密钥对所述反馈信息进行加密,以得到对应的加密信息;
发送模块,用于将所述加密信息发送至所述认证网关,以供所述认证网关根据所述加密信息,生成对应的身份认证结果。
13.一种身份认证***,包括至少一个终端和认证网关,其特征在于:
当前终端获取身份认证请求信息,并将所述身份认证请求信息发送至认证网关;其中,所述身份认证请求信息包括终端访问标识符;
所述认证网关接收当前终端发送的身份认证请求信息;根据所述终端访问标识符,对所述身份认证请求信息进行验证,生成反馈信息,将所述反馈信息发送至所述当前终端;
当前终端接收所述认证网关发送的反馈信息;获取加密密钥,并利用所述加密密钥对所述反馈信息进行加密,以得到对应的加密信息;
认证网关接收所述当前终端发送的加密信息;根据所述终端访问标识符,从预设的认证库中选取对应的会话秘钥,利用所述会话秘钥读取所述加密信息,以得到对应的解密信息;根据所述反馈信息和解密信息之间的关系,生成所述当前终端的身份认证结果。
14.一种电子设备,其特征在于,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如权利要求1至6任一项所述的方法,或权利要求7至10任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如权利要求1至6任一项所述的方法,或权利要求7至10任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110044025.1A CN112887282B (zh) | 2021-01-13 | 2021-01-13 | 一种身份认证方法、装置、***及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110044025.1A CN112887282B (zh) | 2021-01-13 | 2021-01-13 | 一种身份认证方法、装置、***及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112887282A true CN112887282A (zh) | 2021-06-01 |
| CN112887282B CN112887282B (zh) | 2023-06-20 |
Family
ID=76045710
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110044025.1A Active CN112887282B (zh) | 2021-01-13 | 2021-01-13 | 一种身份认证方法、装置、***及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112887282B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992416A (zh) * | 2021-10-28 | 2022-01-28 | 上海辰锐信息科技公司 | 一种物联感知终端认证方法及物联感知终端 |
| CN114205131A (zh) * | 2021-12-06 | 2022-03-18 | 广西电网有限责任公司梧州供电局 | 一种面向变电站测控及pmu设备的安全认证协议 |
| CN114500005A (zh) * | 2022-01-05 | 2022-05-13 | 上海安几科技有限公司 | ModbusTcp指令的保护方法、装置、终端及存储介质 |
| CN114900337A (zh) * | 2022-04-19 | 2022-08-12 | 贵州电网有限责任公司 | 一种适用于电力芯片的认证加密方法及*** |
| CN116033070A (zh) * | 2021-10-27 | 2023-04-28 | 中移(杭州)信息技术有限公司 | 基于信号探测的告警方法、装置及存储介质 |
| CN116996234A (zh) * | 2023-09-26 | 2023-11-03 | 北京数盾信息科技有限公司 | 一种终端接入认证网关的方法、终端及认证网关 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553666A (zh) * | 2015-12-15 | 2016-05-04 | 国网智能电网研究院 | 一种智能电力终端安全认证***及方法 |
| CN107623665A (zh) * | 2016-07-15 | 2018-01-23 | 华为技术有限公司 | 一种认证方法、设备以及*** |
| CN110289958A (zh) * | 2019-07-18 | 2019-09-27 | 郑州信大捷安信息技术股份有限公司 | 一种车联网身份认证方法及*** |
| JP2019186600A (ja) * | 2018-04-02 | 2019-10-24 | Kddi株式会社 | 端末装置、ホームゲートウェイ装置、管理サーバ装置、端末認証方法及びコンピュータプログラム |
| CN110784466A (zh) * | 2019-10-29 | 2020-02-11 | 北京汽车集团有限公司 | 信息认证方法、装置和设备 |
-
2021
- 2021-01-13 CN CN202110044025.1A patent/CN112887282B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553666A (zh) * | 2015-12-15 | 2016-05-04 | 国网智能电网研究院 | 一种智能电力终端安全认证***及方法 |
| CN107623665A (zh) * | 2016-07-15 | 2018-01-23 | 华为技术有限公司 | 一种认证方法、设备以及*** |
| JP2019186600A (ja) * | 2018-04-02 | 2019-10-24 | Kddi株式会社 | 端末装置、ホームゲートウェイ装置、管理サーバ装置、端末認証方法及びコンピュータプログラム |
| CN110289958A (zh) * | 2019-07-18 | 2019-09-27 | 郑州信大捷安信息技术股份有限公司 | 一种车联网身份认证方法及*** |
| CN110784466A (zh) * | 2019-10-29 | 2020-02-11 | 北京汽车集团有限公司 | 信息认证方法、装置和设备 |
Non-Patent Citations (1)
| Title |
|---|
| 陈学锋: "移动网络终端单点登陆身份准确认证仿真分析", 《计算机仿真》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116033070A (zh) * | 2021-10-27 | 2023-04-28 | 中移(杭州)信息技术有限公司 | 基于信号探测的告警方法、装置及存储介质 |
| CN113992416A (zh) * | 2021-10-28 | 2022-01-28 | 上海辰锐信息科技公司 | 一种物联感知终端认证方法及物联感知终端 |
| CN114205131A (zh) * | 2021-12-06 | 2022-03-18 | 广西电网有限责任公司梧州供电局 | 一种面向变电站测控及pmu设备的安全认证协议 |
| CN114205131B (zh) * | 2021-12-06 | 2024-03-22 | 广西电网有限责任公司梧州供电局 | 一种面向变电站测控及pmu设备的安全认证方法 |
| CN114500005A (zh) * | 2022-01-05 | 2022-05-13 | 上海安几科技有限公司 | ModbusTcp指令的保护方法、装置、终端及存储介质 |
| CN114900337A (zh) * | 2022-04-19 | 2022-08-12 | 贵州电网有限责任公司 | 一种适用于电力芯片的认证加密方法及*** |
| CN114900337B (zh) * | 2022-04-19 | 2024-04-05 | 贵州电网有限责任公司 | 一种适用于电力芯片的认证加密方法及*** |
| CN116996234A (zh) * | 2023-09-26 | 2023-11-03 | 北京数盾信息科技有限公司 | 一种终端接入认证网关的方法、终端及认证网关 |
| CN116996234B (zh) * | 2023-09-26 | 2023-12-26 | 北京数盾信息科技有限公司 | 一种终端接入认证网关的方法、终端及认证网关 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112887282B (zh) | 2023-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110968743B (zh) | 针对隐私数据的数据存储、数据读取方法及装置 | |
| CN111010410B (zh) | 一种基于证书身份认证的拟态防御***及证书签发方法 | |
| CN112887282B (zh) | 一种身份认证方法、装置、***及电子设备 | |
| EP3462747A1 (en) | Security device for providing security function for image, camera device including the same, and system on chip for controlling the camera device | |
| CN106790045B (zh) | 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法 | |
| JP2020532928A (ja) | デジタル署名方法、装置及びシステム | |
| CN110708388A (zh) | 用于提供安全服务的车身安全锚节点设备、方法以及网络*** | |
| CN113285932B (zh) | 边缘服务的获取方法和服务器、边缘设备 | |
| CN111246474B (zh) | 一种基站认证方法及装置 | |
| CN112182551B (zh) | Plc设备身份认证***和plc设备身份认证方法 | |
| CN113114699A (zh) | 一种车辆终端身份证书申请方法 | |
| CN114218548B (zh) | 身份验证证书生成方法、认证方法、装置、设备及介质 | |
| CN113259722B (zh) | 一种安全视频物联网密钥管理方法、装置和*** | |
| CN113703911B (zh) | 一种虚拟机迁移方法、装置、设备、存储介质 | |
| WO2020018187A1 (en) | Network device, method for security and computer readable storage medium | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| CN116915480A (zh) | 一种电力物联网安全管理方法及*** | |
| CN116709312A (zh) | 一种安全防护方法、装置及电子设备 | |
| CN108932425B (zh) | 一种离线身份认证方法、认证***及认证设备 | |
| CN116599719A (zh) | 一种用户登录认证方法、装置、设备、存储介质 | |
| CN113872986B (zh) | 配电终端认证方法、装置和计算机设备 | |
| US11570008B2 (en) | Pseudonym credential configuration method and apparatus | |
| CN114553542A (zh) | 一种数据包加密方法、装置及电子设备 | |
| CN112437436A (zh) | 一种身份认证方法及装置 | |
| CN110830243A (zh) | 对称密钥分发方法、装置、车辆及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |